Privacy e sicurezza sono preoccupazioni pressanti per tutti noi in questi giorni – non passa giorno che non siamo bombardati da titoli di notizie di sicurezza su hack, violazioni e l’aumento della memorizzazione e del monitoraggio delle informazioni personali sensibili da parte di governi e aziende.
Per fortuna, quando si tratta di sicurezza, gli utenti Linux se la passano meglio delle loro controparti che usano Windows o Mac. Linux offre vantaggi intrinseci di sicurezza rispetto ai sistemi operativi proprietari a causa della trasparenza del suo codice open-source e la costante e approfondita revisione che questo codice subisce da una vibrante comunità globale. Mentre il codice sorgente trasparente può inizialmente sembrare un incubo per la privacy, in realtà è l’esatto contrario. Come risultato dei “molti occhi” che Linux ha sul suo codice in ogni momento, le vulnerabilità di sicurezza sono identificate e risolte molto rapidamente. Al contrario, con i sistemi operativi proprietari come Windows o MacOS, il codice sorgente è nascosto agli esterni – in altre parole, gli utenti dipendono da Microsoft o Apple per trovare, correggere e divulgare le vulnerabilità. Linux è anche un obiettivo relativamente impopolare per gli hacker malintenzionati a causa della sua piccola base di utenti.
Mentre tutte le “distro” Linux – o versioni distribuite del software Linux – sono sicure per progettazione, alcune distro vanno oltre quando si tratta di proteggere la privacy e la sicurezza degli utenti. Abbiamo messo insieme una lista delle nostre distro Linux preferite eccezionalmente sicure e abbiamo parlato con alcuni dei loro sviluppatori principali per scoprire di prima mano cosa rende queste distro così grandi. Questo articolo ha lo scopo di aiutarvi a valutare le vostre opzioni e selezionare la distro che meglio soddisfa le vostre esigenze individuali.
Perché scegliere una distro Linux sicura specializzata?
Mentre passare da un sistema operativo proprietario a una normale distro Linux come Ubuntu, Fedora o Debian può aumentare significativamente la vostra privacy online, c’è anche una vasta selezione di distro Linux specializzate disponibili per gli utenti con gravi esigenze di privacy come pentesters e hacker etici il cui lavoro richiede che essi nascondano la loro identità online. Tutte queste “distro Linux sicure” hanno un’intensa attenzione a fornire agli utenti la massima sicurezza, privacy e anonimato online, e molte di esse incorporano tecnologie Tor e offrono una selezione impressionante di strumenti di hacking, pentesting e digital forensics. Come si può immaginare, queste caratteristiche e risorse sono preziose quando si valuta l’infrastruttura di sicurezza di un’organizzazione o si conduce un audit di sicurezza.
Ogni distro offre una serie unica di caratteristiche e vantaggi progettati per soddisfare le diverse esigenze e priorità degli utenti. Tuttavia, questi benefici vengono con alcuni compromessi. I sistemi operativi e i programmi più popolari hanno tipicamente le protezioni della privacy più deboli, ma sono anche compatibili con la maggior parte dei siti web e offrono il maggior supporto. Mentre alcune distro Linux sicure sono relativamente mainstream e user-friendly, altre hanno una ripida curva di apprendimento, soprattutto per gli utenti meno esperti di tecnologia.
Le nostre 7 migliori distro Linux per la sicurezza, la privacy e l’anonimato
Qubes OS
Qubes OS è una scelta ideale per gli utenti che cercano di ridurre i rischi compartimentando la loro vita digitale. Una caratteristica chiave di questo sistema operativo è il confinamento delle applicazioni ad alto rischio in macchine virtuali separate. Più macchine virtuali – o “Qubes” – sono utilizzate per organizzare e separare i sistemi intorno al ‘lavoro’, ‘personale’, ‘Internet’ e così via. Questi Qube, che sono convenientemente codificati a colori per aiutare gli utenti a differenziarli, sono altamente sicuri e possono offrire ai sostenitori della privacy la pace della mente in un ambiente digitale sempre più invasivo. Come risultato di questa compartimentazione, se ti capita di scaricare malware sulla tua macchina di lavoro, i tuoi file personali non saranno colpiti e viceversa.
L’integrazione dei vari Qube è fornita dal Visualizzatore di applicazioni, che crea un’illusione per l’utente che tutte le applicazioni di sistema vengano eseguite nativamente sul desktop – quando in realtà sono ospitate in isolamento in Qube separati. Il domain manager Dom0, che gestisce i dischi virtuali di tutte le altre VM, è isolato dalla rete per prevenire attacchi provenienti da una VM infetta.
In una conversazione con i redattori di LinuxSecurity, il Qubes OS Community Manager Andrew David Wong ha elaborato, “Piuttosto che tentare di risolvere tutti i bug di sicurezza nel software, Qubes assume che tutto il software è buggato e lo compartimenta di conseguenza, in modo che quando le falle sono inevitabilmente sfruttate, il danno è contenuto e i dati più preziosi dell’utente sono protetti”. Il suo approccio “Security by Isolation” usando i contenitori – detti “Qubes” – elimina la preoccupazione dei programmi compromessi.
Cosa rende Qubes OS così grande:
- Il suo approccio “Security by Isolation” usando i contenitori – detti “Qubes” – elimina la preoccupazione dei programmi compromessi.
- Tutti questi Qubes sono integrati in un ambiente desktop comune e codificati a colori per aiutare gli utenti a rimanere organizzati.
- Sandboxing protegge i componenti del sistema.
- Qubes OS offre la crittografia completa del disco per la massima protezione dei file.
Tails
Tails usa la rete Tor, una rete annunciata per i suoi benefici di privacy e anonimato, per mantenere gli utenti sicuri online. Tutte le connessioni passano attraverso questa rete – nascondendo la posizione degli utenti e altre informazioni private. Tails viene fornito con un browser sicuro, un client e-mail sicuro e altri strumenti Internet sicuri. Tails è la più nota distro focalizzata sulla privacy, e una scelta popolare tra gli appassionati di sicurezza meno esperti di tecnologia.
Un collaboratore del progetto Tails spiega: “Con Tails, chiunque può trasformare qualsiasi computer in un ambiente sicuro libero da malware e in grado di aggirare la censura.”
In cima alle proprietà di privacy e anti-censura di Tor, Tails dà potere agli utenti di tutto il mondo sviluppando e distribuendo un sistema operativo integrato e sicuro che protegge gli utenti dalla maggior parte delle minacce di sorveglianza e censura per default. La distro fornisce un livello di sicurezza che le singole applicazioni non sono in grado di raggiungere perché dipendono in ultima analisi dalla sicurezza del sistema operativo sottostante.
Il progetto Tails si basa molto sulle donazioni e sulle partnership per mantenere la sua indipendenza e per continuare a servire la comunità Linux.
Cosa rende Tails così grande:
- La sua stretta integrazione con la rete Tor assicura l’anonimato online.
- Il browser web incluso è preconfigurato per la massima sicurezza e include componenti aggiuntivi come NoScript, Ublock Origin e HTTPS Everywhere.
- Gli utenti hanno accesso a Onion Circuits, un prezioso strumento che permette loro di vedere come il loro PC attraversa la rete Tor.
- Tails viene fornito con lo strumento di auditing della rete wireless Aircrack-NG.
- Il sistema operativo è criptato e progettato per funzionare con piena funzionalità su un drive USB.
- La distro dispone di un portafoglio Bitcoin integrato, ideale per gli utenti che desiderano effettuare transazioni sicure di criptovaluta.
Kali Linux
Kali Linux è una distro di pentesting standard del settore. È una delle distro più popolari tra i pentesters, gli hackers etici e i ricercatori di sicurezza in tutto il mondo e contiene centinaia di strumenti.
Un collaboratore di Kali Linux fornisce alcune informazioni sulla storia della distro e sui benefici che offre agli utenti: “Prende il nome da una dea indù, Kali è in giro da molto tempo – ma è ancora aggiornato settimanalmente, può essere eseguito in modalità live o installato su un disco, e può essere utilizzato anche su dispositivi ARM come Raspberry Pi.”
Cosa rende Kali Linux così grande?
- Kali Linux utilizza la crittografia full-disk LUKS per proteggere i dati sensibili di pentesting da perdite, manomissioni e furti.
- Questa distro flessibile offre una completa personalizzazione con live-build.
- Gli utenti possono automatizzare e personalizzare le loro installazioni Kali Linux in rete.
- La modalità “Forensics” rende questa distro perfetta per il lavoro forense.
- C’è una suite di formazione Kaili Linux disponibile chiamata Kali Linux Dojo, dove gli utenti possono imparare a personalizzare la propria ISO Kali e imparare le basi del pentesting. Tutte queste risorse sono disponibili sul sito web di Kali, gratuitamente. Kali Linux vanta anche un corso di pentesting a pagamento che può essere preso online, con un esame di certificazione di 24 ore. Una volta superato questo esame, sei un pentester qualificato!
Parrot OS
Parrot OS può essere visto come un laboratorio completamente portatile per una vasta gamma di operazioni di sicurezza informatica dal pentesting al reverse engineering e digital forensics – ma questa distro basata su Debian include anche tutto il necessario per proteggere i propri dati e sviluppare il proprio software.
Parrot OS è aggiornato frequentemente e fornisce agli utenti una vasta selezione di opzioni di hardening e sandboxing. Gli strumenti della distro sono progettati per essere compatibili con la maggior parte dei dispositivi attraverso tecnologie di containerizzazione come Docker o Podman. Parrot OS è molto leggero e gira sorprendentemente veloce su tutte le macchine – rendendolo una grande opzione per i sistemi con hardware vecchio o risorse limitate.
Cosa rende Parrot OS così grande?
- La distro fornisce a pentesters ed esperti di digital forensics il meglio dei due mondi – un “laboratorio” all’avanguardia con una suite completa di strumenti accompagnati da caratteristiche standard di privacy e sicurezza.
- Le applicazioni che girano su Parrot OS sono completamente sandboxate e protette.
- Parrot OS è veloce, leggero e compatibile con la maggior parte dei dispositivi.
BlackArch Linux
Questa popolare distro di pentesting deriva da Arch Linux, e contiene oltre 2.000 diversi strumenti di hacking – permettendoti di usare quello che ti serve senza dover scaricare nuovi strumenti. BlackArch Linux offre aggiornamenti frequenti, e può essere eseguito da una chiavetta USB o CD o installato sul vostro computer.
BlackArch Linux è simile sia a Kali Linux che a Parrot OS in quanto può essere masterizzato in una ISO ed eseguito come un sistema live, ma è unico in quanto non fornisce un ambiente desktop. Tuttavia, questa distro emergente offre una vasta selezione di Window Manager preconfigurati.
Cosa rende BlackArch Linux così grande?
Whonix
A volte usare un sistema operativo live può essere scomodo – devi riavviare la macchina ogni volta che vuoi usarla, il che è noioso e richiede tempo. Installando un sistema operativo sull’HD, tuttavia, si corre il rischio che il sistema operativo sia compromesso. Whonix offre una soluzione a questa situazione – è una macchina virtuale che funziona all’interno del programma gratuito Virtualbox e mira a fornire sicurezza, privacy e anonimato su Internet.
Questa distro basata su Debian opera in due parti – la prima parte, conosciuta come il Gateway, instrada tutte le connessioni alla rete Tor. La seconda parte, chiamata Workstation, esegue le applicazioni utente e può comunicare direttamente solo con il Gateway. La VM Workstation può solo “vedere” gli indirizzi IP sulla LAN interna, che sono identici in ogni installazione Whonix. Pertanto, le applicazioni utente non sono a conoscenza dell’indirizzo IP reale dell’utente, né hanno accesso ad alcuna informazione sull’hardware fisico della macchina su cui il sistema operativo è in esecuzione. Questo design diviso permette all’utente di rimanere completamente anonimo e mitiga il rischio di fughe di DNS, che rivelano informazioni private come la cronologia della navigazione web.
Whonix ha recentemente aggiunto una modalità live amnesica che “dimentica” le attività dell’utente – non lasciando tracce su disco. La distro sta attualmente lavorando per creare un’esperienza desktop unificata. Lo sviluppatore di Whonix Patrick Schleizer spiega: “Il nostro imminente Whonix-Host estende molte delle nostre caratteristiche di usabilità e hardening all’intero desktop.”
Whonix incoraggia gli utenti a fornire un feedback sulla loro esperienza, e apprezza sinceramente le donazioni e i contributi per sostenere gli sforzi continui del progetto.
Cosa rende Whonix così grande?
- Whonix viene fornito con il Browser Tor e l’applicazione di messaggistica istantanea Tox privacy – assicurando la navigazione web completamente anonima e la messaggistica istantanea.
- Il sistema operativo impiega un innovativo design Host/Guest per nascondere l’identità degli utenti dietro il proxy anonimo e prevenire le perdite IP e DNS.
- La distro ha preimpostato Mozilla Thunderbird PGP email.
- Linux Kernel Runtime Guard (LKRG), un modulo del kernel che esegue il controllo dell’integrità runtime del kernel Linux per rilevare vulnerabilità e exploit di sicurezza, può essere facilmente installato su Whonix.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (o Owl in breve) è una piccola distro per server con software Linux e GNU al suo interno, attualmente usata solo come modello di ricerca per come dovrebbe essere la base di una distribuzione sicura. Owl fa parte del progetto Openwall, che attualmente offre una selezione di progetti e servizi attivi. Openwall è stato effettivamente fondato nel 1996 (ma con il suo nome attuale nel 1999) dal rinomato sviluppatore russo di sicurezza Alexander Peslyak, meglio conosciuto come Solar Designer, famoso per le sue ricerche e pubblicazioni sullo sfruttamento e sulle tecniche di protezione della sicurezza informatica.
Per garantire la massima sicurezza, Owl combina diversi approcci per ridurre il numero e/o l’impatto delle vulnerabilità nei suoi componenti software e l’impatto dei difetti nel software di terze parti che un utente può installare. L’approccio principale è la revisione proattiva e approfondita del codice sorgente per più classi di vulnerabilità di sicurezza. Altri approcci chiave sono l’applicazione coerente del principio del minimo privilegio e l’introduzione della separazione dei privilegi. Owl ha anche usato una forte crittografia all’interno dei suoi componenti principali, a differenza di molte altre distro del tempo, e include l’applicazione dei criteri di sicurezza attraverso il controllo proattivo delle password, il controllo dell’accesso basato sugli indirizzi di rete e il controllo dell’integrità, tra le altre preziose capacità.
Una caratteristica distintiva di Owl è che la distro non ha binari SUID accessibili all’utente, ma è completamente funzionale. Owl è stata anche una delle prime distro ad offrire la virtualizzazione dei contenitori fuori dalla scatola, utilizzando OpenVZ.
Abbiamo incluso Owl in questo articolo nonostante il fatto che la distro sia attualmente in attesa a causa del ruolo importante che Owl ha giocato nella comunità di sicurezza open-source fin dal suo inizio. Detto questo, i nuovi utenti dovrebbero essere cauti nel selezionare Owl e altre distro non più in fase di sviluppo, a meno che non lo vedano come un’opportunità educativa o intendano prendere in prestito codice e/o idee dal progetto.
Crediamo che ci sia ancora spazio nella comunità della sicurezza per un’altra distro come Owl che può essere utilizzata come base per costruire sistemi sicuri utilizzando strumenti provenienti dal progetto Openwall, tra cui John the Ripper, Linux Kernel Runtime Guard, e diverse tecniche di password hashing.
Cosa rende Owl così grande?
- Owl ha fornito compatibilità con la maggior parte delle distro Linux/GNU al momento, e potrebbe essere visto come una solida base per costruire un sistema.
- La distro forniva un ambiente di compilazione completo in grado di ricostruire un intero sistema con un solo semplice comando – “make buildworld”.
- La revisione proattiva del codice sorgente difende da molteplici classi di vulnerabilità di sicurezza.
- La distro applica coerentemente il principio del minimo privilegio e la separazione dei privilegi.
- I componenti centrali di Owl sono protetti con una forte crittografia.
- Le politiche di sicurezza sono applicate con il controllo proattivo delle password, il controllo dell’accesso basato sugli indirizzi di rete, il controllo dell’integrità e altre capacità.
- Owl offre la virtualizzazione dei contenitori fuori dalla scatola.
- La distro è completamente funzionale, nonostante non abbia binari SUID accessibili all’utente.
Leggi di più sui concetti dietro Openwall.
Grazie a Solar Designer per aver corretto diversi problemi chiave con la sezione Openwall GNU/*/Linux (Owl) di una versione precedente di questo articolo.
La linea di fondo
E’ evidente che Linux offre una grande varietà di opzioni di distro per pentesters, sviluppatori di software, ricercatori di sicurezza e utenti con una maggiore preoccupazione per la loro sicurezza e privacy online. Scegliere la migliore distro Linux per le proprie esigenze di privacy è un atto di bilanciamento – ogni distro offre un diverso equilibrio tra privacy e convenienza.
In base alle vostre specifiche esigenze e preoccupazioni, è probabile che una (o molte!) delle distro sopra descritte possa essere un’ottima scelta per voi – offrendovi gli strumenti e le capacità che state cercando in una distro e la tranquillità di sapere che il vostro sistema è sicuro e la vostra privacy è protetta in questa moderna minaccia digitale in rapida evoluzione.